Se han descubierto varias vulnerabilidades en Nokia Intellisync Mobile Suite que podría ser aprovechado por un atacante para desvelar información, realizar ataques por cross-site scripting, manipular datos o causar denegaciones de servicio.

* Ciertos scripts ASP de autenticación no son debidamente comprobados. Un atacante podría aprovechar esta vulnerabilidad para revelar detalles del usuario o deshabilitar cuentas.

* Ciertas entradas de datos pasadas a de/pda/dev_logon.asp, usrmgr/registerAccount.asp, y de/create_account.asp no son debidamente comprobadas antes de ser devueltas al usuario. Un atacante podría aprovechar esto para ejecutar código HTML o scripts arbitrarios en el navegador del usuario atacado.

* Un error de límite en el servidor Apache Tomcat podría ser aprovechado por un atacante para listar directorios y leer el código fuente de ciertos scripts.

Estas vulnerabilidades han sido confirmadas para las versiones 6.4.31.2, 6.6.0.107 y 6.6.2.2 y afecta parcialmente a Nokia Intellisync Wireless Email Express.

Se recomienda actualizar a GSM2

Laboratorio Hispasec
laboratorio@hispasec.com

Más información:

SEC Consult Security Advisory
http://www.sec-consult.com/289.html

Compártelo: